НАВЕРХ

Онлайн-платежи запретили без регистрации в банке ПК и телефонов

Фото: Sibnet.ru

Новые требования ЦБ к банкам по борьбе с мошенничеством вступили в силу. Теперь банки должны регистрировать все устройства, с которых их клиенты совершают онлайн-операции со своими счетами.

«Банк на основании заявления клиента определяет параметры операций, которые могут осуществляться через интернет- и мобильный банкинг. В том числе банк устанавливает перечень устройств, с использованием которых может осуществляться доступ к системам дистанционного банковского обслуживания (ДБО) с целью переводов денег на основе идентификаторов данных устройств», — цитируют новые требования «Известия».

При этом, в указаниях ЦБ не уточняется, что такое «идентификатор» устройства. «Логично предположить, что речь идет о МАС-адресе. Это уникальный идентификатор модема конкретного устройства, с которого осуществляется доступ в Сеть. Но для целей идентификации банки могут использовать и IP-адреса клиентов. Или еще можно взять сведения о конфигурации устройства и преобразовать это все в некое число, уникальное для каждой железки. Вариантов может быть много», — предполагают в компании Digital Security (один из лидеров в направлении анализа защищенности банковских систем).

Руководитель аналитического центра Zecurion Владимир Ульянов подчеркнул, что IP-адрес для идентификации клиента категорически не подходит: «Менее 50% пользователей имеют статические (постоянные) IP-адреса. У остальных пользователей IP регулярно меняется, и никакого смысла привязываться к нему нет. Что касается использования MAС-адресов и конфигураций оборудования — эта идея кажется более разумной, однако и здесь есть свои изъяны».

«Конфигурация оборудования и даже MAC-адреса, которые на практике можно менять, могут оказаться одинаковыми у нескольких пользователей. Злоумышленники смогут этим воспользоваться», — пояснил Ульянов.

Павел Крылов, руководитель направления по развитию продукта Group-IB, говорит, что IP-адрес вполне может использоваться банками, если речь идет о юрлицах, поскольку они используют выделенный публичный IP-адрес. Но, по его мнению, надежнее использовать MAC-адрес конкретного компьютера. Однако далеко не все системы интернет-банкинга имеют возможность автоматически получать его с компьютера клиента.

В том, что касается мобильных устройств, руководитель направления по борьбе с мошенничеством центра информационной безопасности «Инфосистемы Джет» Алексей Сизов отметил, что те же номера IMEI, которые должны быть уникальными у каждого мобильного устройства, иногда совпадают. Еще для сотовых телефонов существуют идентификатор IMSI, жестко привязанный к SIM-карте. Однако и это нельзя считать гарантией — прецеденты использования IMSI-catcher (поддельной базовой станции) уже упоминались во многих СМИ.

БАНКИ РЕШАЮТ САМИ

В ЦБ затруднились ответить на запрос «Известий» по существу. Есть некая неопределенность, банки пока не затребовали регистрации стационарных компьютеров, а в отношении мобильных устройств исполняют новые требования по своему разумению. Так, начальник управления безопасности информационных технологий СМП-банка Павел Головлев рассказал, что в качестве идентификатора устройства банк использует IP-адрес мобильного устройства.

«Чтобы зарегистрировать устройство, через которое клиент планирует заходить в интернет-банк, ему необходимо прийти в офис банка и написать соответствующее заявление. Если клиент меняет устройство, то ему необходимо обратиться в банк и обновить информацию об идентификаторе устройства. Если теряет — то алгоритм действий в данном случае должен быть таким же, как и при потере банковской карты», — говорит Головлев.

Начальник управления дистанционного банковского обслуживания ВТБ24 Елена Дегтева сообщила, что банк решил собирать у клиентов пакеты данных об их устройствах: «Оптимальным способом идентификации устройства клиента при работе через интернет является определение отпечатка системы — набора параметров, являющихся уникальными для конкретного устройства (device fingerprint). При несовпадении device fingerprint банк может запросить дополнительное подтверждение по операции, связавшись, например, с клиентом по телефону, или отказать в ее проведении, если дополнительная идентификация не прошла успешно».

Новые правила сулят всем как бумажные (если вписывать идентификаторы в договор, придется вносить правки в договор), так и технические проблемы вкупе с ростом расходов на ДБО, которые и сейчас составляют миллионы рублей в год. «У банков появляется техническая проблема с регистрацией устройств и отслеживанием их использования. У клиентов появятся проблемы с удобством использования интернет-банка из-за ограничения доступности в некоторых случаях», — считают в Digital Security.

При этом специалисты отмечают, что атаки на клиентов банков — это набор действий, многоходовки. Одна атака может идти через уязвимости в ПО, другая — с использованием социальной инженерии и выуживания логинов-паролей, фишинга. Например, троян, который уведет пароль, сможет также снять копию системных параметров, как банкоматный скиммер с карты.

Еще по теме
Подсчитаны потери иностранных компаний от ухода из России
ВТБ сделает бесплатными платежные стикеры
Бюджетникам установят единые базовые ставки по окладам
Легендарный инвестор предрек США новую Великую депрессию
смотреть все
Обсуждение (32)